Datenschutzprobleme sind im Gesundheitswesen immer wieder ein sehr ernstes Thema: Erst kürzlich hat eine Recherche des Bayerischen Rundfunks und von ProPublica aufgedeckt, dass sensible Gesundheitsdaten von weltweit Millionen Patienten ungeschützt im Internet abrufbar waren. Auf dem vergangenen Chaos Communication Congress hat der IT-Sicherheitsanalyst Martin Tschirsich in einem vielbeachteten Vortrag unter dem Titel „All Your Gesundheitsakten Are Belong To Us“ aufgezeigt, wie leicht angreifbar Gesundheits-Apps und andere digitale Dienste sind. Wir haben ihn gefragt, wie gut es um den Datenschutz bei derartigen Apps und die Datensicherheit bei den Digitalisierungs-Plänen von Bundesgesundheitsminister Jens SpahnSpahn Spahn, Jens; Bankkaufmann und Politologe, war 2018 bis 2021 Bundesminister für Gesundheit. Seit 2002 ist er Mitglied des Bundestages. (CDU) steht.
MedWatch: Welche Möglichkeiten und Vorteile sehen Sie durch Forschungsdatenbanken mit Gesundheitsdaten der Bevölkerung?
Martin Tschirsich: Oft wird auf skandinavische Länder wie Dänemark verwiesen, wo es eine nationale Gesundheitsplattform gibt und viele Gesundheitsdaten darüber für die medizinische Forschung zugänglich sind. Einer solchen großen Datensammlung kann tatsächlich ein Nutzen entspringen. Aber es geht um Nutzen und Risiken, letztere müssen transparent bewertet und reduziert werden. Nur so können wir auch die Akzeptanz von Nutzern sicherstellen, die ihre Daten zur Verfügung stellen.
MedWatch: Bundesgesundheitsminister Jens Spahn hat Datenschutz ja etwa in seinem Buch „App vom Arzt“ als nebensächlich hingestellt. Wie wichtig ist der Schutz von Gesundheitsdaten aus ihrer Sicht?
Tschirsich: Herr Spahn hat im Vorwort seines Buchs die These „Datenschutz ist was für Gesunde“ vertreten, er und seine Koautoren haben es aber später im Buch etwas relativiert. Die These finde ich gefährlich, da sie suggeriert, dass jemand, der krank ist, kein Interesse am Schutz seiner Daten hat. Gerade Menschen, die krank sind, sind darauf angewiesen, dass ihre Daten korrekt und vollständig sind. Denn auf Grundlage dieser Daten soll ja, ganz im Sinne der datengetriebenen Medizin, eine Diagnose und eine Therapieentscheidung gründen. Und vollständige Daten bekommen wir insbesondere, wenn wir die ärztliche Schweigepflicht als therapeutisches Prinzip und damit die Vertraulichkeit dieser Daten glaubwürdig zusichern können. Akzeptanz in die Datensammlung auch zur personalisierten Vorsorge setzt Vertrauen voraus – und das gibt es nur, wenn wir den Datenschutz sicherstellen. Die Basis für Datenschutz ist die Datensicherheit, wie sie auch in der DSVGO vorgeschrieben ist. Und Datensicherheit, also die Verfügbarkeit und Integrität dieser Daten, betrifft kranke Menschen ebenfalls ganz besonders. Integrität bedeutet, dass Daten nicht ungewollt verändert werden. Eine Verletzung der Integrität der Daten wäre auch, wenn etwa nach einem fehlgeschlagenen medizinischen Eingriff Daten in der Patientenakte verändert werden, um Probleme zu verschleiern. Nur wenn Datenschutz und Datensicherheit glaubwürdig zugesichert werden, stellt der Patient die Daten bereit, denen die datengetriebene Medizin und die medizinische Forschung einen so großen Wert beimessen.
MedWatch: Der Datenschutz wird ja oft als Grund angegeben, warum es etwa bei der GesundheitskarteGesundheitskarte Die elektronische Gesundheitskarte (eGK) ist seit 2015 der ausschließliche Berechtigungsnachweis, um Leistungen der gesetzlichen Krankenkasse in Anspruch nehmen zu können. Daten wie Name, Geburtsdatum, Anschrift und Angaben zur Krankenversicherung sind standardmäßig auf der Karte gespeichert. Ein Lichtbild auf der Karte ist verpflichtend für alle über 15 Jahren. Die Rückseite wird von den Kassen oft für die "Europäische Krankenversicherungskarte" verwendet und stellt so eine unbürokratische Behandlung innerhalb Europas sicher. Seit 2020 ist es möglich freiwillig zusätzliche Daten auf der Karte zu hinterlegen. Das können Informationen zu Arzneimittelunverträglichkeiten, Allergien und chronischen Erkrankungen sein, die im Notfall wichtig sind. Schwangerschaften, Informationen zu Implantaten, zu Organ- und Gewebespenden, Patientenverfügungen sowie weitere Kontaktdaten können hier hinterlegt werden. nicht voran geht.
Tschirsich: Die Verzögerungen bei der Gesundheitskarte liegen nicht im erhöhten Datenschutz, sondern in der gegenseitigen Blockade beteiligter Organisationen. Natürlich aber stellen die vielen Anforderungen die Industrie vor Herausforderungen, da sie keine schlüsselfertigen Standardlösungen verkaufen kann. Gerade für die bundesweite elektronische Patientenakte müssen eigene Lösungen entwickelt werden – das ist aus meiner Sicht aber auch notwendig. Es gibt eine Studie, nach der in den USA mit solchen Lösungen jährlich 30 Millionen Datensätze aus elektronischen Gesundheitsakten in unberechtigte Hände gelangen. In Deutschland versuchen wir, mit sehr viel höheren Sicherheitsstandards neue Maßstäbe zu setzen. Leider aber, so muss man sagen, verfehlen wir dieses Ziel momentan trotz der vielen Ressourcen, die wir dafür einsetzen. Bei der Patientenakte wurde das Sicherheitsniveau durch Anpassungen in der letzten Minute drastisch reduziert, indem wir die exklusive Hoheit des Versicherten über den Schlüssel zur Patientenakte wieder in Frage gestellt haben. Auch bei Verlust des Schlüssels soll auf die Daten zugegriffen werden können – die Sicherheitskonzepte wurden dazu wieder aufgeweicht.
MedWatch: Ein Problem ist ja offenbar auch, dass Patienten nicht ausreichend steuern können, welche Informationen Ärzte einsehen können.
Tschirsich: Richtig. Es ist in der ersten Ausbaustufe der kommenden Patientenakte nicht möglich, Zugriffsberechtigungen für einzelne Dokumente zu vergeben: Wenn man Ärzte berechtigt, auf die Akte zuzugreifen, können sie gleich den gesamten Datenbestand einsehen. Es ist eine alles-oder-nichts-Regelung, die nicht dem entspricht, was wir unter individuellen Berechtigungen verstehen.
MedWatch: Würden Sie selbst die Akte denn nutzen?
Tschirsich: So, wie sie in der ersten Ausbaustufe geplant ist, würde ich sie nicht nutzen, obwohl ich im Moment nicht davon ausgehe, dass ich persönlich einem großen Risiko aussetzt bin. Meine Forderung an die Patientenakte ist, dass es eine echte Ende-zu-Ende-Verschlüsselung gibt: Die Daten müssen unter meiner Kontrolle sein. Es muss zudem einen rechtlichen Schutz vor Beschlagnahme geben: Die elektronische Gesundheitskarte ist von Beschlagnahmung ausgenommen, genauso wie Berufsgruppen wie Ärzte nicht gezwungen werden dürfen, Daten von Patienten preiszugeben. Die elektronische Patientenakte hat diesen Schutz noch nicht – damit dürften diese Daten theoretisch beschlagnahmt werden.
Aus der Sicht des Patienten sollte man abwarten, bis die Patientenakte im Jahr 2021 eingeführt wird – und schauen, ob das Ziel der Datensicherheit nicht auf den letzten Metern für das politische Ziel geopfert wurde, die Patientenakte noch in dieser Legislaturperiode einzuführen.
MedWatch: Und was sagen Sie zu den Plänen, dass Gesundheitsdaten von Kassen zukünftig zentral zu Forschungszwecken genutzt werden können?
Tschirsich: Die Kassen besitzen viele Sozialdaten, die auch jetzt schon zur Verfügung gestellt werden, um Forschung zu betreiben. Bislang ist der Zugang hierzu jedoch kompliziert und wird kaum genutzt. Über die neuen Forschungszentren sollen die Daten von KrankenkassenKrankenkassen Eine Krankenkasse ist der Träger der gesetzlichen Krankenversicherung (GKV). Krankenkassen stellen den Versicherten Leistungen zur Verfügung, die nach Vorlage der elektronischen Gesundheitskarte in Anspruch genommen werden können. Die meisten dieser Leistungen sind im SGB V festgeschrieben. Krankenkassen sind organisatorisch sowie finanziell unabhängig und unterstehen der Aufsicht von Bund oder Ländern. Im Gegensatz zu gesetzlichen Krankenversicherungen sind private Krankenversicherungsunternehmen Aktiengesellschaften oder Versicherungsvereine auf Gegenseitigkeit (VVaG). zusammengefasst, pseudonymisiert und der Forschung zur Verfügung gestellt werden. Die Pseudonymisierung soll von einer unabhängigen Instanz vorgenommen werden und nicht umkehrbar sein – das ist aber sehr schwierig. Letztendlich kann man aber immer aus den Daten versuchen, auf den Original-Dateninhaber zurückzuschließen – das ist aber verboten. Es ist eigentlich selten möglich, eine Pseudonymisierung so festzuschreiben, dass eine Umkehrung nicht möglich ist.
MedWatch: Herr Spahn will außerdem, dass Kassen leichter die Kosten von Gesundheitsapps übernehmen können. Wird da ausreichend auf Sicherheit geachtet?
Tschirsich: Die Sicherheit solcher Apps ist tatsächlich ein Kriterium im Digitale-Versorgungsgesetz – aber mit Verweis auf eine Regelung, die noch erfolgen soll. Beim Bundesinstitut für ArzneimittelArzneimittel Arzneimittel sind Stoffe oder Zubereitungen aus Stoffen, die angewandt werden, um Krankheiten, Leiden, Körperschäden oder Beschwerden zu heilen, zu lindern oder zu verhüten. Es kann sich hierbei ebenfalls um Mittel handeln, die dafür sorgen, dass Krankheiten oder Beschwerden gar nicht erst auftreten. Die Definition beinhaltet ebenso Substanzen, die der Diagnose einer Krankheit nutzen oder seelische Zustände beeinflussen. Die Mittel können dabei im Körper oder auch am Körper wirken. Das gilt sowohl für die Anwendung beim Menschen als auch beim Tier. Die gesetzliche Definition von Arzneimitteln ist im § 2 Arzneimittelgesetz (AMG) enthalten. und MedizinprodukteMedizinprodukte Medizinprodukte sind z.B. Implantate, Katheder, Infusionen, Herzschrittmacher und Co. Sie definieren sich durch eine vom jeweiligen Hersteller bestimmte medizinische Zweckbestimmung für die Anwendung beim Menschen. Anders als bei Arzneimitteln entfaltet sich ihre Hauptwirkung auf physikalische Weise. Verschiedenste Vorgaben regeln das Inverkehrbringen und die Inbetriebnahme von Medizinprodukten. Dadurch soll für die Sicherheit und Eignung der Medizinprodukte gesorgt werden. Es geht hierbei zudem um den Schutz von Patienten, Anwendern und Dritter. sollen die Apps auf Datenschutz und Datensicherheit geprüft werden – diese Prüfung wird aber allein auf Dokumenten basieren, die der Hersteller vorlegt. Es ist nicht zu erwarten, dass eigene Prüfungen durch die Behörde durchgeführt werden. Näheres soll noch durch Rechtsverordnungen des BMGBMG BMG ist die Abkürzung für das Bundesministerium für Gesundheit. Es erarbeitet Gesetzesentwürfe, Rechtsverordnungen sowie Verwaltungsvorschriften. Zu seinen Aufgaben gehört es die Leistungsfähigkeit der Gesetzlichen Krankenversicherung sowie der Pflegeversicherung zu erhalten, zu sichern und weiterzuentwickeln. Es ist zuständig für die Reform des Gesundheitssystems. Wichtige Punkte sind zudem die Bereiche Gesundheitsschutz, Krankheitsbekämpfung und Biomedizin. Auch kümmert es sich und die Rahmenvorschriften für Herstellung, klinische Prüfung, Zulassung, Vertriebswege und Überwachung von Arzneimitteln und Medizinprodukten, sowie um die Sicherheit biologischer Arzneimittel wie Blutprodukte. Berufsgesetze für die Zulassung zu den bundesrechtlich geregelten Heil- und Gesundheitsberufen gehören ebenso zu seinem Aufgabenspektrum. geregelt werden. Noch können wir daher nicht beurteilen, wie es um die Datensicherheit stehen wird. Insgesamt habe ich aber nicht unbedingt die Hoffnung, dass wir hier den Stein der Weisen noch finden werden, den wir bislang nicht gefunden haben. Vom Bundesrat wird zudem kritisiert, dass es nicht nur beim Betrieb der App, sondern bereits im Appstore Datenschutzlücken geben kann – der Appstore-Betreiber kann wissen, dass etwa eine Diabetes-App installiert wird. Hier muss geschaut werden, ob der Vertrieb von Kassen-Apps beispielsweise über Google vertretbar ist.
MedWatch: Haben Sie Hoffnung, dass das Bundesinstitut Datenschutzprobleme auch aufdeckt?
Tschirsich: Ich bin nicht optimistisch, weil wir bislang solche Prüfungen immer darüber gelöst haben, dass ein Sicherheitszertifikat verlangt wird. Eine App mit Zertifikat wird zugelassen – ich kann mir nicht vorstellen, dass das zukünftig anders sein wird, weil es keinen besseren Ansatz gibt, die Sicherheit von Apps mit wenig Aufwand von außen zu prüfen. Es kann aber nicht davon ausgegangen werden, dass eine App mit Zertifikat tatsächlich ein ausreichendes Schutzniveau erreicht. Auf dem Chaos Communication Congress letzten Jahres wurden viele Apps „zerlegt“, die teils Zertifikate von Datenschutzbehörden trugen. Das Vorhandensein von Sicherheits-Siegeln und weiteren derartigen Begleitdokumenten hat bislang selten mit einem ausreichenden Sicherheitsniveau korrespondiert.
Sicherheitslücken finden sich eigentlich auf allen Ebenen, die man sich vorstellen kann: In der Spezifikation von den Anwendungen selbst, in der Verschlüsselung, in der Umsetzung. Teils haben wir ganz banale Sicherheitslücken – teils in Konzepten, die zuvor von Experten begutachtet und patentiert wurden. Wir können nicht davon ausgehen, dass eine vollständig sichere App existiert. Problematisch ist auch, dass fast keine Apps existiert, die sich Angriffen durch Mitarbeiter der Firmen – so genannte Innentäter – widersetzen.
MedWatch: Wer hat denn Interesse, die Daten abzugreifen?
Tschirsich: Es ist bekannt, dass über 50 Prozent aller Unternehmen innerhalb der letzten 12 Monate durch Innentäter angegriffen wurden – auch unwissend, durch Social-Engineering. Die Motivation ist vielfältig. Gesundheitsdaten haben einen finanziellen Wert, wenn es Erpressungspotenziale gibt. Aus China wissen wir von einer Datenbank, die viele Merkmale der Bevölkerung umfasst, die öffentlich wurde – sie umfasst beispielsweise Informationen zum Fruchtbarkeitstatus von Millionen Frauen. Das lässt eine staatliche Steuerung der Bevölkerung zu. Wir können aber auch nach Bayern schauen, auf das bayerische Psychisch-Kranken-Hilfe-Gesetz: Nach einem Gesetzesentwurf sollte auch die Polizei präventiv Zugriff auf Informationen zu psychischen Erkrankungen bekommen. Es ist außerdem bekannt, dass beispielsweise im Vorfeld einer großen Militär-Übung in Finnland die Gesundheitsdaten von über der Hälfte der Bevölkerung gestohlen wurden: Man kann vermuten, dass staatliche Angreifer ein Interesse an diesen Daten haben.
MedWatch: Was also tun?
Tschirsich: Das ungelöste Problem der von außen kaum und schon gar nicht zuverlässig zu beurteilenden Datensicherheit einer App werden wir auch durch das Digitale-Versorgungsgesetz nicht gelöst bekommen. Daher sollten wir uns zumindest einmal ernsthaft mit der Frage beschäftigen, welche Schäden dem Patienten bei nicht ausreichendem Schutzniveau überhaupt drohen. Eine Datenpanne kann harmlos sein, sie kann aber auch existenzbedrohende Folgen für Betroffene haben, die über Stigmatisierung und den Verlust der gesellschaftlichen Teilhabe hinausgehen.Wir sollten auch darüber nachdenken, dass für den Fall des Eintretens eines Schadens Vorsorge getroffen wird. Für den Schadensfall müssen wir uns Konzepte überlegen, wie wir die Auswirkungen für die Betroffenen möglichst geringhalten können. Möglicherweise muss die Produkthaftung erweitert und die Verpflichtung eingeführt werden, dass Anbieter sich durch Versicherungspolicen absichern müssen. Momentan reicht es, nachzuweisen, dass man nicht fahrlässig gehandelt und die gängigen technischen Maßnahmen eingehalten hat.
